Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Dindoor Backdoor

Dindoor Backdoor

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT), Portes dérobées
Se traduisent par :

Les recherches en matière de renseignement sur les menaces ont mis au jour des preuves d'une cyberopération menée par l'Iran, qui a réussi à s'infiltrer dans les réseaux de plusieurs organisations en Amérique du Nord. Parmi les entités touchées figurent des banques, des aéroports, des organisations à but non lucratif et la filiale israélienne d'une société de logiciels spécialisée dans les secteurs de la défense et de l'aérospatiale.

Cette campagne a été attribuée à MuddyWater, également connu sous le nom de Seedworm, un groupe de cybercriminels lié au ministère iranien du Renseignement et de la Sécurité (MOIS). Les enquêteurs estiment que l'opération a débuté début février 2026. L'activité réseau associée à cette campagne a été observée peu après les frappes militaires menées par les États-Unis et Israël contre l'Iran, ce qui laisse supposer un possible facteur géopolitique à l'origine de cette cyberactivité.

Il semble qu'une attention particulière ait été portée à la filiale israélienne du fournisseur de logiciels visé. Cette entreprise fournit des solutions à de nombreux secteurs, notamment la défense et l'aérospatiale, ce qui en fait une cible stratégique de grande valeur pour la collecte de renseignements et les opérations de perturbation potentielles.

Dindoor : une porte dérobée nouvellement identifiée exploitant Deno

Les analystes de sécurité chargés d'examiner les intrusions ont identifié le déploiement d'une porte dérobée jusqu'alors inconnue, appelée Dindoor. Ce logiciel malveillant utilise l'environnement d'exécution JavaScript Deno, une technique relativement rare qui pourrait lui permettre d'échapper à la détection des systèmes de surveillance de sécurité classiques.

Les attaques visant l'éditeur de logiciels, une institution bancaire américaine et une organisation canadienne à but non lucratif semblent avoir servi de points d'entrée pour l'installation de cette porte dérobée.

Des indices de tentative d'exfiltration de données ont également été relevés. Les enquêteurs ont observé l'utilisation de l'utilitaire Rclone pour transférer des informations de l'environnement de l'entreprise de logiciels compromise vers un espace de stockage cloud hébergé sur Wasabi. Au moment de l'analyse, il n'était pas encore possible de déterminer si la tentative d'exfiltration de données avait finalement abouti.

Une porte dérobée Fakeset apparaît dans d'autres réseaux compromis.

Un composant malveillant distinct, nommé Fakeset et écrit en Python, a été détecté sur les réseaux d'un aéroport américain et d'une autre organisation à but non lucratif. Cette porte dérobée a été extraite de l'infrastructure de Backblaze, un fournisseur américain de stockage et de sauvegarde dans le nuage.

La charge utile malveillante a été signée numériquement à l'aide d'un certificat qui a déjà été lié à deux autres familles de logiciels malveillants, Stagecomp et Darkcomp, toutes deux historiquement associées aux opérations de MuddyWater.

Les chercheurs spécialisés dans les menaces ont identifié des échantillons de logiciels malveillants présentant les signatures suivantes, liées à l'écosystème MuddyWater :

  • Cheval de Troie : Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

    • Bien que Stagecomp et Darkcomp eux-mêmes n'aient pas été découverts sur les réseaux compromis examinés dans cette enquête, la réutilisation du même certificat numérique suggère fortement l'implication du même acteur malveillant, renforçant ainsi l'attribution à Seedworm.

    Développement des capacités cybernétiques et des tactiques d'ingénierie sociale iraniennes

    Ces dernières années, les acteurs iraniens de la cybermenace ont considérablement amélioré leurs capacités opérationnelles. Le développement de leurs logiciels malveillants et de leurs outils est devenu plus sophistiqué, leur permettant une persistance plus furtive et des déplacements latéraux plus efficaces au sein des réseaux des victimes.

    Il convient également de souligner le développement de leurs stratégies d'attaques ciblant les individus. Les opérateurs iraniens ont fait preuve de méthodes d'ingénierie sociale de plus en plus sophistiquées, notamment des campagnes de spear-phishing très ciblées et des opérations de « piège à miel » de longue durée visant à instaurer un climat de confiance avec les personnes ciblées. Ces tactiques sont fréquemment utilisées pour obtenir un accès aux comptes ou extraire des informations sensibles.

    Surveillance via des caméras vulnérables

    Des enquêtes parallèles ont révélé que d'autres groupes terroristes liés à l'Iran scrutent activement les dispositifs de surveillance connectés à Internet. L'un d'eux, Agrius, également connu sous les pseudonymes d'Agonizing Serpens, Marshtreader et Pink Sandstorm, a été observé en train de rechercher des infrastructures de vidéosurveillance vulnérables.

    Des chercheurs ont documenté des tentatives d'exploitation de failles de sécurité connues ciblant les caméras et les systèmes d'interphonie vidéo Hikvision. Ces activités se sont intensifiées dans le contexte du conflit en cours au Moyen-Orient, notamment en Israël et dans plusieurs pays du Golfe.

    La campagne s'est concentrée sur l'exploitation des vulnérabilités affectant les équipements de surveillance de Dahua et Hikvision, notamment :

    • CVE-2017-7921
    • CVE-2023-6895
    • CVE-2021-36260
    • CVE-2025-34067
    • CVE-2021-33044

    Les analystes en sécurité estiment que de telles compromissions peuvent faciliter la collecte de renseignements militaires, notamment la surveillance opérationnelle et l'évaluation des dommages de combat liés aux opérations de missiles. Dans certains cas, des intrusions de caméras peuvent survenir avant les lancements de missiles afin de faciliter le ciblage ou le suivi des résultats.

    Les activités cybernétiques comme précurseurs des opérations cinétiques

    Le ciblage coordonné des infrastructures de surveillance confirme des analyses de longue date selon lesquelles la doctrine cybernétique iranienne intègre la reconnaissance numérique à sa planification militaire globale. Les caméras compromises peuvent fournir des renseignements visuels en temps réel et une connaissance situationnelle précieuse.

    Par conséquent, la surveillance des activités de numérisation et des tentatives d'exploitation des infrastructures de caméras liées aux ressources cybernétiques iraniennes connues peut servir de signal d'alerte précoce pour d'éventuelles opérations cinétiques ultérieures.

    Risques croissants de représailles cybernétiques

    L’escalade du conflit entre les États-Unis, Israël et l’Iran a accru le risque de cyberreprésailles. Face à cette menace grandissante, le Centre canadien pour la cybersécurité (CCCS) a émis un avertissement indiquant que l’Iran est susceptible d’utiliser ses capacités cybernétiques contre des infrastructures critiques et de mener des opérations d’influence ou d’information pour servir ses intérêts stratégiques.

    Ces évolutions soulignent le rôle croissant du cyberespace comme champ de bataille parallèle lors des conflits géopolitiques, où l'espionnage, la perturbation et la collecte de renseignements accompagnent de plus en plus les actions militaires traditionnelles.

    Tendance

    Le plus regardé

    Chargement...